Включение отключение правил NAT и firewall

[CBLoner]

По ходу своей работы столкнулся с такой жутко неудобной проблемой:

Настраиваю правила трансляции портов на NAT или правила блокировке firewall. Обычно это не одно правило, например RDP на несколько машин и еще пара портов проброа для временного/постоянного доступа, а так же firewall правила - до двух десятков бывает.

Но вот незадача, если надо временно выключить доступ ко внутренним портам (бывает что на задачу 2-3 правила) то не кнопки выключить правило, его можно только банально "грохнуть"!  Но мне в 80% случаев через какое-то время опять нужно включить правила и приходиться его создавать с нуля! Ну надо например на час два RDP закрыть, а потом открыть. А иногда порты-то по памяти и не вспомнишь! 

Так к чему я, на многих железках есть помимо удалить и вверх вниз приоритет поднять, кнопка выключить обработку правила, чтобы потом при необходимости его просто включить, а не создавать заново!  

А firewall если из десятка правил тестируешь... проще выключить и посмотреть как без правила работать, чем после удаления сказать - "Нет, давай ка назад и создавать правило заново!" Это ж время убивается и жесть как неудобно!

На многих D-Link, NetGear, да чего далеко ходить, юзаю USG 40W и там все прекрасно есть... и куча правил... и часто половина выключены, а когда они нужны, я их просто включаю, заметьте, просто включаю, а не вспоминаю с мукой, что надо и не создаю заново!

Пускай сделают напротив правило еще колонку, а там (как многие обычно делают) иконка лампочки, либо горит, либо нет. На худой конец галочки хватит! 

Заранее всем благодарен!

[CBLoner]

В 12/10/2016 в 00:58, ndm сказал:

Добавлено в версии 2.08.A.12.0-0. В вебе пока черновой, но уже рабочий вариант.

Нашел где! Даже NATовкие правила потестил! (какой политический калабур вышел! )

Огромное спасибо! Сразу пару замечаний:

1. Конечно лучше еще в список вынести, а то лазить по всем правилам в поисках включено/выключено- 

2. Думаю в списке правил либо лампочку - горит/не горит, либо серым шрифт делать, дабы визуально видно было! А лучше и то и то!

Ну это все не придирки, а пожелания! А так огромное спасибо!!! Ждем улучшений!!!!

[Roman_Petrov]

Присоединяюсь, мне часто тоже нужно создавать временные правила. Было бы удобно, если бы правила можно было бы активировать-деактивировать галочками или кнопками, при этом чтобы они хранились в памяти, один раз прописанные.

[CBLoner]

@Roman_Petrov  Я же не прошу такую замороченную схему с жуткой иерархией и применения разных метрик, маршрутов и туннелей! Я просто прошу одну МАААААЛЕНЬКУЮ лампочку

Чтобы не рыть руками список из 20 правил, ища какие из них ДА, а какие НЕТ!

Edited January 15, 2017 by cbloner

[MDP]

В 13.07.2016 в 16:54, cbloner сказал:

По ходу своей работы столкнулся с такой жутко неудобной проблемой:

 

А если просто вместо запретительного правила ставить разрешающее путём редактирования?

ну например было 

deny

udp/

115.254.64.0/255.255.224.0

*

...редактируешь его ...вместо deny ставишь permit

[CBLoner]

Конечно вариант... Но представь цепочку из 20 правил, и в середине через одно, для тестов ставишь permit... А потом сидишь и вспоминаешь permit тут для того чтобы проверить или я это так правило выключил?! 

Блокнот конечно никто не отменял , но все же хочется по человечески и наглядно! Но костыль неплох! 

[JIABP]

В 13.07.2016 в 16:54, cbloner сказал:

По ходу своей работы столкнулся с такой жутко неудобной проблемой:

Я нашёл свой путь (ц) - если нужно отключить правило, я выбираю другой интерфейс/сегмент, обычно это Guest Wi-Fi, который 99% времени выключен. А так можно и дальше пойти - создать отдельный интерфейс и на него вешать правила, которые нужно выключить.

[CBLoner]

Хорош костыль, но костылём и остается  Но все же хочется аккуратной реализации.  

[Roman_Petrov]

В ‎22‎/‎07‎/‎2016 в 13:43, cbloner сказал:

Хорош костыль, но костылём и остается  Но все же хочется аккуратной реализации.  

 

В ‎20‎/‎07‎/‎2016 в 08:31, JIABP сказал:

Я нашёл свой путь (ц) - если нужно отключить правило, я выбираю другой интерфейс/сегмент, обычно это Guest Wi-Fi, который 99% времени выключен. А так можно и дальше пойти - создать отдельный интерфейс и на него вешать правила, которые нужно выключить.

Есть конечно вариант даже проще. На вкладке файлы сохранять каждый раз конфигурацию и подкидывать ту, с теми портами, которая на данный момент нужна. Потом обратно старый конфиг.

[iocsha]

Ещё не просто правил отключать \включать а возможность задать времени его включения\отключения . Такое  есть например в микротиках.

[Roman_Petrov]

5 часов назад, iocsha сказал:

Ещё не просто правил отключать \включать а возможность задать времени его включения\отключения . Такое  есть например в микротиках.

Именно так по расписанию если, то возможно уже сейчас, используя cron или crontab с ndmq в Entware.

[CBLoner]

В 04.08.2016 в 12:48, iocsha сказал:

Ещё не просто правил отключать \включать а возможность задать времени его включения\отключения . Такое  есть например в микротиках.

Ну это уже изыски. Неплохо, но наверное лучше как ниже советуют!

А вот вкл./выкл в обязательном порядке!

[CBLoner]

Так тема и заглохла или еще есть шанс?

[Heimdall]

Хочу: иметь возможность отключать правила трансляции NAT и сетевого экрана.

Когда много правил - приходится править все разрешить\запретить через интерфейс, править конфиг файл, или удалять их скопом.

Из возможности отключать правила, вытекает возможность управлять ими по расписанию.

Ещё: кнопка Перезагрузить почему-то в настройках, а не на главной. Доступ к журналу удобней когда он на первой вкладке параметров а не третьей, он нужен согласитесь чаще чем настройка даты и времени.

И там же на главной нет кнопки Выход (раньше вроде была).

Edited September 26, 2016 by Heimdall

[Le ecureuil]

26 минут назад, Heimdall сказал:

И там же на главной нет кнопки Выход (раньше вроде была).

Нет, не было. И это нереализуемо: авторизация происходит через HTTP-расширение Digest-Auth (Basic Auth в случае с SSL), которое не использует Cookie, и невозможно сбросить программно через JS.

[Heimdall]

Ясно. Использует активный сеанс и похоже надёжно, после перезапуска браузера снова запрос пароля.

А остальные предложения в силе.

Если не сделаете, не буду больше качать новые прошивки на свой старый кинетик, понятно?

[ndm]

В 9/26/2016 в 09:17, Heimdall сказал:

А остальные предложения в силе.

Если не сделаете, не буду больше качать новые прошивки на свой старый кинетик, понятно?

Понятно. Есть тема про отключение правил, можете проголосовать. Эту закроем, чтобы не дублировать.

 

[Sfut]

В 05.09.2016 в 00:32, cbloner сказал:

Так тема и заглохла или еще есть шанс

Нужная вещь. Проголосую.

[CBLoner]

апаем...

Запарился ручками включать/удалять.... вчера пол дня мутузился! 

[IgaX]

или здесь .. все правила поддерживают префикс no .. максимальная загвоздка, что "no" может убирать строку из running-config .. ответвление логики для нужных секций, чтобы не было удаления .. вроде не самая сложная проблема. дополнительное поле с чекбоксом в gui и работа с массивом .. да любой менеджер проекта максимум неделю на это даст

[ndm]

Добавлено в версии 2.08.A.12.0-0. В вебе пока черновой, но уже рабочий вариант.

[CBLoner]

Супер, побежал смотреть )))


Отправлено с моего iPad используя Tapatalk

[CBLoner]

Чета обновился на draft a12 (итак сижу на драфте в ожидании фишечек), но не firewall ни port mapping ничего не увидел! Есть хитрая фишечка по включению? :-/


Отправлено с моего iPad используя Tapatalk

[Roman_Petrov]

11 минуту назад, cbloner сказал:

Супер, побежал смотреть )))


Отправлено с моего iPad используя Tapatalk

Вызвало улыбку  имхо фичка полезная конечно.

[CBLoner]

Куда-то делось мое сообщение про тест NATовских правил ;_) (политическое заявление прямо).

Когда планируется галочку из самого правила продублировать в список правил, в табличке? Ну чтобы все правила не шерстить и сразу видно было!

А так все супер! Спасибо!

P.S. А почему я свой предыдущий пост не вижу? ;-(

Edited December 19, 2016 by cbloner
Довопрос.

[Le ecureuil]

54 минуты назад, cbloner сказал:

Куда-то делось мое сообщение про тест NATовских правил ;_) (политическое заявление прямо).

Когда планируется галочку из самого правила продублировать в список правил, в табличке? Ну чтобы все правила не шерстить и сразу видно было!

А так все супер! Спасибо!

P.S. А почему я свой предыдущий пост не вижу? ;-(

Ваш предыдущий пост от 11 декабря, более позднего нет. Видимо не отправился.

[CBLoner]

Ага... по ходу где-то в кэше завис! ;-(

Ждем дополнений в веб интерфейсе!

[Mr.Hunt]

Здравствуйте, не хочу создавать отдельную тему, т.к. мой вопрос-идея-предложение, относиться к похожей теме.

Было бы здорово, если бы была возможность создавать фаервольные правила автоматически при выборе того или иного установленного соединения, что-то типа того, что на рисунке, а также для фаервола отдельный лог файл.

[Le ecureuil]

11 час назад, Mr.Hunt сказал:

Здравствуйте, не хочу создавать отдельную тему, т.к. мой вопрос-идея-предложение, относиться к похожей теме.

Было бы здорово, если бы была возможность создавать фаервольные правила автоматически при выборе того или иного установленного соединения, что-то типа того, что на рисунке, а также для фаервола отдельный лог файл.

1. Сброс соединения без блокировки в firewall практического смысла не имеет, поскольку следующий пакет снова создаст запись в conntrack. Или вы хотите, чтобы всем сторонам разослался TCP RST?

2. Вот это интереснее, подумаем. Однако тут нет интерфейсов, потому непонятно как создавать блокировку.

3. Тоже нужно подумать.

4. Насчет журнала тоже надо подумать.

А вообще будущее этой вкладки туманно.

[CBLoner]

1. Сброс соединения почти согласен - почти нет смысла, за исключением когда "забанил", а потом уже скидываешь или если "хрень", которая конект пробросила не сразу его переподнимает!

2. Да, было бы забавно генерировать правила прямо оттуда!

Остальные -+ интересные, но сначала дождемся галочек вкл/выкл в ьаблице с правилами, ну и можно лампочек около низ добавить, типа вкл/выкл

[Mr.Hunt]

Всем привет. По поводу "Сбросить соединение" - это на тот случай, если не получится выполнить одновременное создание правила и сброс соединения, собственно как и сказал cbloner. По поводу интерфейсов согласен, тут получается уже установленная сессия, а не момент создания, где видно откуда и куда. Возможно ничего не получится сделать вообще ибо тут процесс должен происходить в ядре системы а не на интерфейсах, как обычно делается это в крупных фаерволах.